金鑰管理系統 (KMS) 服務會集中管理加密編譯金鑰,並在 Management API 伺服器中執行。
本頁面適用於平台管理員群組的對象,例如 IT 管理員或安全工程師,他們負責在 Google Distributed Cloud (GDC) 氣隙環境中管理及使用加密金鑰。詳情請參閱 GDC air-gapped 說明文件適用對象。
支援的鍵
KMS 支援下列金鑰,用於資料平面作業:
| 金鑰原始物件 | 金鑰基本元素 (API) | 說明 | 預設演算法 |
|---|---|---|---|
AEAD |
aeadkey |
使用 AES-256 執行已驗證加密的相關資料 (AEAD) 已驗證加密金鑰。金鑰的元件代表下列項目:
|
AES_256_GCM |
Signing |
signingkey |
簽署金鑰,可使用橢圓曲線支援提供非對稱簽署。 金鑰的元件代表下列項目:
|
EC_SIGN_P384_SHA384 |
根金鑰類型
KMS 會在將金鑰內容寫入磁碟前,先使用內部根金鑰加密,並在從磁碟讀取內容時解密。KMS 會為每項作業擷取根金鑰。
KMS 支援每個機構使用單一根金鑰,且會在部署 KMS 時自動建立。根金鑰會包裝所有非根金鑰。使用每個金鑰的 RootKeyID 欄位,找出根金鑰。
如果根金鑰遭到盜用或需要定期輪替,您可以輪替根金鑰。這個程序會以新根金鑰取代舊根金鑰,新根金鑰會成為主要金鑰,並包裝所有非根金鑰。
| 根金鑰類型 | 根金鑰類型 (API) | 說明 |
|---|---|---|
Local Root (default) |
kms.gdc.goog/local-root |
根金鑰加密編譯內容會以 Kubernetes Secret 形式儲存在 Management API 伺服器中。 |